Ich habe folgende Beispielkonfiguration für eine Systemverschlüsselung gefunden:
Beispiel 5: Paranoide Systemverschlüsselung
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
Genauere Angaben habe ich allerdings nicht gefunden.
Bedeutet dies, dass eine vollständige Systemverschlüsselung möglich ist, bei der jede Benutzerpartition ihre eigene Passphrase hat, so dass beispielsweise ein angemeldeter Benutzer die Daten eines anderen, nicht angemeldeten Benutzers nicht lesen kann, weil seine Daten verschlüsselt sind? (Ähnlich wie es der Fall wäre, wenn Sie verschiedene Home-Partitionen mit verschlüsseln würden ecryptfs.)
Kann also jemand Einzelheiten dazu liefern, wie das in der Praxis funktioniert und wie man es in einem Ubuntu-System einrichtet?
Antwort1
Wenn Sie eine Verschlüsselung pro Benutzer wünschen, bietet Ubuntu meines Wissens bereits eine Lösung dafür. Es verwendet kein „ dm-crypt/luksbut“ ecryptfsoder ähnliches, um das Home-Verzeichnis jedes Benutzers einzeln zu verschlüsseln, indem eine verschlüsselte Schicht über dem regulären Dateisystem verwendet wird.
Um dm-crypt/luksdasselbe zu erreichen, müssten Sie für jeden Benutzer eine separate Partition oder ein separates logisches Volume erstellen.
Eine andere Möglichkeit ist, dass es sich darauf bezieht, dass LUKS mehrere Schlüssel für denselben Container unterstützt. Dies ist jedoch auf 8 Schlüsselplätze beschränkt, sodass dies nicht sehr praktisch ist, es sei denn, Ihre Benutzeranzahl ist so gering.
Sie könnten auch ein verkettetes System einrichten - geben Sie dem Benutzer einen Schlüssel, der einen Hauptschlüssel öffnet, der wiederum den Container öffnet. Ich glaube allerdings nicht, dass das wirklich für die Benutzerverwaltung geeignet ist - es kann nützlich sein, wenn Sie Diebstahl/Verlust des USB-Sticks == Verlust des Schlüssels verhindern möchten.